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Veiiahren zum authentifizierten Schliisselaustausch. 



<§J) Der erfindungsgemasse Schlusselaustausch findet in 
einem Netz mft einer Schlussetvertellzentrale SVZ und 
mehreren Benutzern A, B, ... statt und weist zwe! Phasen 
auf, namltch eine Praauthentifikationsphase und efne 
SchlQsselaustauschphase. In der Praauthenttfikations- 
phase kommt Jeder Benutzer A, B f ... zur Schlusselverteil- 
zentrale SVZ und ISsst sich sefne Identltat m!t dem Ei- 
Gama! Schema slgnferen. In der nachfofgenden SchlQssel- 
austauschphase erzeugen zwei Benutzer A und B einen 
gemeinsamen GehefmschlQssel z nach einem abgeander- 
ten Dlffie-Hellmann Verfahren. 
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Beschrelbung 

Technisches Gebiet 

Die Erfindung betrifft e!n Verfahren zum authen- 5 
tifizierten SchlGsselaustausch in einem Netz mit ei- 
ner SchlQsselverteitzentrale und mehreren Teilneh- 
mera 

Stand der Technik 10 

Verfahren zur Erzeugung von aulhentifizierten 
GehelmschlQsseln werden Z.B. in der europiischen 
Patentanmeldung EP-A 0 307 627 und in der deut- 
schen Auslegeschrift DE-A 3 915 262 beschrieben. 15 

Oas erste der beiden Verfahren fuhrt die Au- 
thentifikation fiber das offentliche Telefonnetz 
durch und 1st entsprechend nicht fOr alle Anwen- 
dungen gleichermassen geeignet. Das zweite Ver- 
fahren verwendet eine praauthentifizierte Liste 20 
von offentlichen TeilnehmerschlGssein und 1st fur 
den automatischen Betrieb entworfen worden. Bei 
der Aufnahme einer Verbindung muss jedoch der 
offentliche Teilnehmerschlussel jeweils aus der 
prSauthentffizierten Uste gelesen werden. Dabei 25 
gibt es zwei Moglichkeiten; Entweder wind die Uste 
in jedem Gerat gespeichert, was bei grossen Net- 
zen viel Speicherpiatz (proportional zur Teilnehmer- 
zahl) beansprucht und bei Netzerweiterungen eine 
aufwendige InformafionsGbertragung vertangt, 30 
oder die Liste wird zentral gefOhrt, was bei jedem 
Verbindungsaufbau zwei ROckfragen an die Schlus- 
selverteilzentrale verlangt. 

Bne zentraie Uste mit lokalen AuszQgen stellt fQr 
vieie Anwendungen eine vemQnfttge Losung dar. 35 
Dort wo jedoch die Verbindung bei wenig Speicher- 
platz, autonom aufgebaut werden soil und eine Au- 
thentifikation der Teiinehmer einzeln notwendig ist ( 
ist auch dieses Verfahren nicht sehr hilfreich. Bei- 
splele dafflr sind Netze von POS-Terminals, mobile 40 
Telefonsysteme und sonstige Funknetze sowie 
Computernetze. 

Zur Identifikation (u.a. an POS-Terminals) sind 
von 

- Fiat und Shamir («How to Prove Yourself: Practi- 45 
cal Solutions to Identification and Signature Pro- 
biems», Advances in Cryptology - CRYPTO'86, 
Lecture Notes in Computer Science, Vol 263, pp. 
186-194, Springer Verlag 1987), 

- LC. Guillou, J.^l. Quisquater («A Practical Zero 50 
Knowledge Protocol Frtted to Security Micropro- 
cessor Minimizing Both Transmission and Memory, 
Advances in Cryptology - EUROCRYPT88, Lec- 
ture Notes in Computer Science, Vol 330, pp. 123— 
128, Springer Verlag 1 988), und von 55 

- T. Beth, (^Efficient Zero Knowledge Identification 
Scheme for Smart Cards*, Advances In Cryptolo- 
gy - EUROCRYPT88, Lecture Notes in Computer 
Science, Vol. 330, pp. 77-84 Springer Verlag 1988) 
sogenannte «zero knowledge proofs» vorgeschla- 60 
gen worden. Bei einem solchen «zero knowledge 
proofs geht jeder Benutzer in einer PrSauthentifika- 
tionsphase zur SchiQsseFverteilzentraie, weist sich 

aus und bekommt von der Zentraie den offentlichen 
NetzschlOssel sowie die zu seiner identitat ID (z.B. 65 



AHV-Nummer) gehdrige Signatur S (\Q), welche die 
Zentraie mit dem geheimen NetzschlOssel bildet 

Will sich nun A gegenOber einem anderen Benut- 
zer B ausweisen, so beweist er in einem Protokoll 
mit B, dass er S(!D) kennt, ohne die Signatur selbst 
preiszugeben. Die Signatur wird dabei unter Ver- 
wendung des offentlichen Netzschlussels gepruft 

Darstellung der Erfindung 

Aufgabe der Erfindung Ist es, ein Verfahren zum 
aulhentifizierten SchlGsselaustausch in einem Netz 
mit einer SchiOsselverteilzentrale und mehreren 
Teilnehmern anzugeben, welches flexibel in bezug 
auf die Erweiterung durch neue Benutzer ist, einen 
geringen Speicherbedarf hat und die Nachteile der 
bekannten Verfahren vemneidet 

Erfindungsgemass besteht die LSsung darin, 
dass in einer Pr§authentifikationsphase 

a) die SchiOsselverteilzentrale. eine Funktion f(.) 
zur Erzeugung von Identitatsnummem, einen endii- 
chen Korper GF(q), in welchem die Rechenoperatio- 
nen ausgefOhrt werden, eine Funktion g: GF(q) x 
GF(q) -* GF(q), ein primitives Element a e GF(q) 
und eine geheime erste Zufallszahl x wahlt, aus wel- 
chen sie einen offentlichen NetzschlOssel y = or* 
bildet, 

b) die SchiOsselverteilzentrale jedem Benutzer ei- 
ne Identitatsnummer ID = f(A) signiert, indem die 
SchiOsselverteilzentrale eine geheime zweite Zu- 
fallszahl k wahlt, welche die Eigenschaft gcd(k,q-1) 
« 1 hat, aus der Zufallszahl k einen offentlichen Be- 
nutzerschlOssel r = a* und einen geheimen Benut- 
zerschlQssel s mit der Eigenschaft xr+ks « ID mod 
(q-1) bildet und dem Benutzer seine beiden Benut- 
zerschlGssei mitteilt, 

und dass in einer SchlOsselaustauschphase zwi- 
schen einem ersten Benutzer A und einem zweiten 
Benutzer B 

c) jeder der beiden Benutzer A resp. B dem ande- 
ren seinen 6ffentlichen Benutzerschlussel r resp. 
f mitteilt, 

d) jeder der beiden Benutzer A resp. B die Identi- 
tatsnummer ID' = f(B) resp. ID = f(A) bildet und aus 
dieser Identitatsnummer und dem Benutzerschlus- 
sel f resp. r des jeweils anderen eine Grosse fsr » 
a\oyr resp. r« = a '<y bildet, 

e) jeder der beiden Benutzer A resp. B eine ge- 
heime Zufallszahl t resp. r erzeugt und damit einen 
Code rt resp. rf bildet, welchen er dem anderen 
Benutzer B resp. A mitteilt und 

f) die beiden Benutzer A und B einen gemeinsa- 
men geheimen KommunikationsschlOssel 

z « g^rs't) bilden. 

Es versteht sich von selbst, dass der endliche 
Kfirper GF(q) so gewahlt wird, dass q-1 eine Zahl mit 
mindestens einem grossen Primfaktor ist. Bis auf ei- 
ne werden alle erfindungsgemassen Operationen in 
diesem KSrper ausgefuhrt 

Mit den bekannten «zero knowledge proof** Ver- 
fahren hat die Erfindung die Bgenschaft gerneln- 
sam, ebenfails die Signatur der Identitat S(ID) als 
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geheimes Authentifikationsmerkmal zu benutzen. Im 
Unterschied zu den bekannten Verfahren wird die- 
ses Merkmal Jedoch zur Konstruktlon eines gemein- 
samen, gegenseitig authentifizierten SchlQssels ' 
.verwendet 

Aus den abhangigen PatentansprQchen ergeben 
sich vorteflhafte AusfOhrungsformen der Erfin- 
dung. 

Kurze Beschreibung der Zeichnung 

Nachfolgend soli die Erfindung anhand von Aus- 
fOhrungsbeispieien im Zusammenhang mit der Zeich- 
nung niher eriautert warden. Es zeigen: 

Rg. 1 eine schematische Darstellung der Priau- 
thentffikationsphase; und 

Rg. 2 eine schematische Darstellung der Schlus- 
selaustauschphase zwischen zwei Benutzem. 

Die in der Zeichnung verwendeten Bezugszei- 
chen und deren Bedeutung sind in der Bezeich- 
nungsliste zusammenfassend tabelliert 

Wage zur Ausfflhrung der Erfindung 

Der erfindungsgemasse SchlOsselaustausch fin- 
det in elnem fGr die Obertragung von digitaien Da- 
ten geeigneten Netz mlt einer SchlOsselverteilzen- 
trale SVZ und mehreren Benutzem A f B t ... statt 
und weist zwei Phasen auf f namlich eine Praauthen- 
tifikationsphase und eine SchlOsselaustauschpha- 
se. In der Praauthenttfikationsphase kommt jeder 
Benutzer A f B,... zur SchlOsselverteilzentrale SVZ 
und lasst sich seine Identitat gemass dem El-Gamal- 
Schema signieren. In der nachfolgenden Schlussel- 
austauschphase erzeugen zwei Benutzer A und B 
einen gemeinsamen Geheimschlussel z nach einem 
abgeanderten Diffie-Hellmann-Verfahren. 

Fig. 1 zeigt eine schematische Darstellung der 
Pr3authentifikationsphase. AIs erstes wahlt (SE- 
LECT) die SchlOsselverteilzentrale SVZ einen endli- 
chen KSrper GF(q) F wobei q-1 typischerweise einen 
grassen Primfaktoren aufweist, und ein primitives 
Element a e GF(q). Dann erzeugt sie zufallig (RAN- 
DOM) als geheimen NetzschlQssel («private part») 
eine erste Zahl x, aus welcher sie einen dffentlichen 
NetzschlQssel (»public part») y = or x bildet (Es 
versteht sich, dass diese und die spater beschrie- 
benen Operationen im endlichen Korper GF(q) aus- 
gefQhrt werden, wenn es nicht explizit anders spe- 
zifiziert wird.) Weiter definiert sie eine geeignete 
Funktion f(.) r welche aus den Identitatsmerkmaien 
eine eindeutige Identitatsnummer erzeugt. Schltess- 
lich definiert sie noch eine geeignete Funktion g: 
GF(q) x GF(q) -> GF(q). Vorzugsweise ist diese 
Funktion das Produkt. 

Die durch f(.) bestimmte Identitatsnummer ID 
kann beispielsweise durch Abtasten des Rngers 
(Rngerabdruck) gebildet werden. Es konnen aber 
auch weitere Merkmale eingehen. Typischerweise 
ist f(.) eine Einwegfunktion (one way function), die 
auf dsn Datenstring bestehend aus Namen, Vorna- 
men, Geburtsdatum und eventuell weiteren Merkma- 
len angewandt wird. 



Den endlichen Korper GF(q) t das primitive Ele- 
ment a und den dffentlichen NetzschlQssel y sowie 
die Funktion f(.) gibt die SchlOsselverteilzentrale 
SVZ dffentllch bekannt Den geheimen NetzschlOs- 

5 sel x speichert sie zugrfffsgeschQfet ab. 

Die Schiasselverteilzentrale SVZ hat damit die 
grundlegenden, allgemeinen Vorbereitungen abge- 
schiossen. Nun kommt jeder Benutzer zur SchlOs- 
selverteilzentrale SVZ und lasst sich seine Identi- 

10 tat gem§ss dem B-Gamal-Schema signieren. 

Der Benutzer A weist sich aus (z.B. mit seinem 
Reisepass), worauf die SchlOsselverteilzentrale 
SVZ mit Hilfe der Funktion f(.) eine eindeutige Iden- 
titatsnummer ID » f(A) berechnet Dann erzeugt sie 

15 zufallig (RANDOM) eine benutzerspezifische Zahl 
k, welche die Hgenschaft gcd(k,q-1) » 1 hat (gcd = 
greatest common divisor). Aus der zweiten Zufalls- 
zahl k bildet sie einen dffentlichen BenutzerschlGs- 
sel r = a k und einen geheimen BenutzerschiOssel s 

20 mit der Eigenschaft xr+ks = ID mod (q-1 ). Die beiden 
BenutzerschiOssel r und s teilt sie dem Benutzer A 
mit, der den geheimen BenutzerschiOssel s zugriffs- 
gesichert abspeichert. 
Jeder Benutzer, der im Netz zugelassen werden 

25 will, muss die beschriebene Praauthentifikations- 
phase durchiaufen. 

Fig. 2 zeigt eine schematische Darstellung der 
SchlOsselaustauschphase. Sie findet zu Beginn ei- 
ner Kommunikation zwischen einem ersten Benutzer 

30 A und einem zweiten Benutzer B statt. 

Jeder der beiden Benutzer kennt dabei die 6f- 
fentlidv bekannten Parameter f(.), g(.,.), GF(q), a, 
y, sowie seine Schlussel r und s resp. f und s'. Ty- 
pischerweise hat er auch seine eigene Identitats- 

35 nummer ID resp. ID' abgespeichert. 

Die beiden Benutzer A und B berechnen als er- 
stes die Identitatsnummer ID* und ID und tauschen 
den offentlichen BenutzerschiOssel r und t aus. 
Als zweites bildet jeder der beiden Benutzer A 

40 resp. B aus der Identitatsnummer ID' resp. ID und 
dem BenutzerschiOssel f resp. r des jeweils ande- 
ren eine Grdsse r** «= a {D Y resp. r« = a ,D y r . Als 
drittes erzeugen sie zufallig (RANDOM) je eine ge- 
heime Zahl t resp. r und errechnen daraus je einen 

45 Code r 1 resp. r*\ Dann wird dieser Code r* resp. 
\* ausgetauscht. Zum Schluss bildet jeder der bei- 
den Benutzer A resp. B aus den bekannten Gros- 
ser! den gemeinsamen Geheimschlussel («session 

50 key») 

z-gfrtV 5 ' 1 ). 

Das erfindungsgemasse Verfahren hat u.a. fol- 
gende Vorteile: 

55 1. Ausser den eigenen Identifikationsmerkmalen 
genQgt die Kenntnis eines einzigen «public keys» 
zum authentifizierten SchlOsselaustausch mit einem 
beliebigen anderen Benutzer des Netzes. Das Ver- 
fahren zeichnet sich fblglich durch einen sehr ge- 

60 ringen Spelcherbedarf aus. 

2. Jeder praauthenfrfizierte Benutzer kann mit 
jedem anderen praauthentifizierten Benutzer einen 
authentifizierten SchlOsselaustausch vomehmen, 
ohne dabei auf die SchlOsselverteilzentrale zu- 

65 ruckgreifen zu mQssen (off-line authentifizierter 
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SchlOsselaustausch). En mit dlesem System betrie- 
benes Netz fst dadurch auch belieblg flextbel in be- 
zug auf Erweiterung des Teilnehmerkreises. 

3. Dennoch sind bel dem erfindungsgemSssen 
SchlOsselaustausch alle Tellnehmer unterscheid- 
bar, dh, es kann slch keiner fOr einen anderen aus- 
geben. 

Zur Sicherhett des erfindungsgemassen SchlOs- 
selaustausches lisst sich folgendes sagen: 

1. Falls man s aus a, y, ID und r bestimmen kann, 
kann man das B-GamaTsche SIgnaturschema bre- 
chen, welches allgemein als sicher angesehen wird. 

2. Falls man (K)s au s r, t« und rf bestimmen 
kann, kann man den Drffie-Hellmann'schen Schlus- 
selaustausch-AIgorithmus brechen, welcher eben- 
falls allgemein als sicher angesehen wird. 

DIese Oberlegungen lassen es als wahrschein- 
tich erscheinen, dass bei geeigneter Wahl von q, a, 
x und k die Kenntnis von s resp. s' durch den Benut- 
zer A resp. B unerlfisslich ist fOr die Konstruktion 
des SltzungsschlQssels 2. Das erfindungsgemasse 
SchlQsselaustauschverfahren beinhaltet somit eine 
gegenseitige Authentifikation der Benutzer A und B. 

Der resuto'erende SitzungsschlQssel z kann nun 
fflr die verschiedensten Anwendungen benutzt wer- 
den f wie z.B. zur Chtffrierung, zur Sicherung der 
Datenintegrifat Oder audi nur zur Identititskontrol- 
le. 

Das erfindungsgemasse Verfahren lasst sich mit 
als soichen bekanrrten Mrtteln realisieren. Eine fOr 
den authentffizierten SchlOsselaustausch zwecks 
Chiffrierung geeignete Anordnung ist z.B. in der 
.eingangs erw§hnten deutschen Auslegeschrift DE- 
A 3 915 262 beschrieben. 

Die EinsatzmSglichkeiten des beschriebenen 
Verfahrens sind aufgrund der erwahnten Vorteile 
ziemlich brete Mobiles Telephon, Militarfunk, Com- 
putemetze und POS-Terminals. 

Das beschriebene SchlQsselaustauschverfah- 
ren (st ein -public key* Verfahren mit elnem einzi- 
gen Schlussel, das einen authentiflzierten Schlus- 
selaufbau zwischen zwei beliebigen Benutzem er- 
taubt Es wird off-line betrieben, ist flextbel in bezug 
auf Erweiterungen durch neue Benutzer und hat ei- 
nen geringen Speicherbedarf. Der Rechenaufwand 
ist im wesentlichen der gleiche wie beim weit verbrei- 
teteh Diffie-Hellmann-Verfahren. Die etwas auf- 
wendlgere El-Gamal Signatur wird jeweiis von der 
SchlQssefverteilzentrale und ausserdem fur jeden 
Benutzer nur einmal durchgefQhrt 

Patentanspruche 



operatlonen ausgefOhrt werden, eine Funkfion g: 
GF(q) x GF(q) -> GF(q) f ein primitives Element 
ae GF(q) und eine geheime erste Zufatlszahl x 
w§hlt, aus welchen sie einen Sffentlichen Netz- 
5 schlussel y = or* bildet, 

b) die SchlQsselverteilzentrale jedem Benutzer ei- 
ne Identitatsnummer ID = f(A) sfgniert, indem die 
SchlQsselverteilzentrale eine geheime zweite Zu- 
fallszahl k wShlt, welche die Bgenschaft gcd(k, 

10 q-1) « 1 hat, aus der Zufallszahl k einen offenfli- 
chen BenutzerschlQssel r - a* und einen gehei- 
men BenutzerschlQssel s mit der Egenschaft 
xr+ks o ID mod (q-1) bildet und dem Benutzer sei- 
ne beiden BenutzerschlQssel mitteilt, 

15 und dass in einer SchlQsselaustauschphase zwi- 
schen einem ersten Benutzer A und einem zwei- 
ten Benutzer B 

c) jeder der beiden Benutzer A resp. B dem ande- 
ren seinen offentlichen BenutzerschlQssel r 

20 resp. r mitteilt, 

d) jeder der beiden Benutzer A resp. B die Identi- 
tatsnummer ID' « f(B) resp. ID = f(A) bildet und 
aus dieser Identitatsnummer und dem Benutzer- 
schlQssel f resp. r des jeweiis anderen eine 

25 Gr6sse = a ID Y resp. I* « a { Oyr bildet, 

e) jeder der beiden Benutzer A resp. B eine ge- 
heime Zufallszahl t resp. f erzeugt und damrt ei- 
nen Code rt resp. rf bildet, welchen er dem an- 

30 deren Benutzer B resp. A mitteilt und 

f) die beiden Benutzer A und B einen gemeinsa- 
men geheimen . Kommunikationsschlussel z 
g(rfs ( r^t) bilden. 

2. Verfahren nach Anspruch 1 f dadurch gekenn- 
35 zeichnet, dass die Funktion g(.,.) die Multiplikation 

im endlichen Korper GF(q) ist. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, dass die Funktion f(.) eine Einwegfunktion 
ist 

40 



45 
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1. Verfahren zum authentiflzierten SchlOsselaus- 
tausch in einem Netz mit einer SchlQsselverteilzen- 
trale und mehreren Teilnehmern A, B, dadurch ge- 
kennzeichnet, dass in einer PrSauthentifikations- 60 
phase 

a) die SchlQsselverteilzentrale eine Funktion f(.) 
zur Erzeugung von Identitatsnummem, einen 
endlichen Korper GF(q), in welchem die Rechen- 
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Translation of Swiss Patent Application No. CH 678134 A5 

Description 

Technical Field 

The invention relates to a process for authenticated key-exchange in a network 
with a key distribution centre and a plurality of subscribers. 

The State-of-the Art 

Methods for the creation of authenticated secret keys are described, for example, 
in European patent application EP-A 0 307 627 and in the German AS DE-A 3 915 262. 

The first of these two processes transfers the authentication through the public 
telephone network, and is accordingly not equally appropriate for all uses. The second 
process utilizes a pre-authenticated list of public subscriber keys and is proposed for 
automatic operation. However, when establishing the connection, the public subscriber 
key must be read from the pre-authenticated list. In this situation there are two 
possibilities: either store the list in each apparatus, which in the case of large networks 
requires enormous storage space (proportional to the number of subscribers) and 
requires costly information transfer in the case of network expansion, or the list is 



maintained centrally, which requires, for each connection made, two references back to 
the key distribution centre. 

A central list with local extensions is a sensible solution for many applications. 
However, where the connection is to be autonomously established with restricted 
storage place and an authentication of the subscriber is individually necessary, the 
latter process is not very helpful. Examples thereof are networks of POS-terminals, 
mobile telephone systems, and other wireless networks such as computer networks. 

For identification purposes (on PST-terminals inter alia), so-called "zero 
knowledge proofs" have been suggested by 

- Flat and Shamir ("How to Prove Yourself: Practical Solutions to Identification and 
Signature Problems", Advances in Cryptology - CRYPTO'86, Lecture Notes in 
Computer Science, Vol. 263,, pp. 186-194, Springer Verlag 1987), 

- L.C. Guillou, J.-J. Quisquater ("A Practical Zero Knowledge Protocol Fitted to Security 
Microprocessor Minimizing Both Transmission and Memory, Advances in Cryptology - 
EUROCRYPT'88, Lecture Notes in Computer Science, Vol. 330, pp. 123-128, Springer 
Verlag 1988), and by 

- T. Beth, ("Efficient Zero Knowledge Identification Scheme for Smart Cards", Advances 
in Cryptology - EUROCRYPT'88, Lecture Notes in Computer Science, Vol. 330, pp. 77- 
84 Springer Verlag 1988). In such "zero knowledge proof systems, each user, in a 
pre-authentification phase, goes to the code distribution centre, identifies himself, and 
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receives from the centre the public network key as well as the signature S (ID), 
belonging to his particular identity ID (for example, AHV-number), which the centre 
generates with the secret network key. 

If A now wishes to identify himself with respect to another user B, he proves in a 
protocol with B that he knows S(ID) without revealing the signature itself. The signature 
is thus verified utilizing the public network key. 

Description of the Invention 

The aim of the invention is to provide a process for authenticated key exchange 
in a network that has a key distribution centre and numerous subscribers, is flexible in 
terms of its expansion through new subscribers, has a minimal storage requirement, 
and avoids the disadvantages of known processes. 

In accordance with the invention, the solution is as follows: in a pre- 
authentication phase, 

a) the key distribution centre selects a function f(.) in order to create an 
identification number, a finite field GF(q), in which the calculating operation is carried 
out, a function g: GF(q) x GF(q) GF(q), a primitive element a e GF(q) and a secret 
first random number x, from all of which it constructs a public network key y = oT x , 
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b) the key distribution centre assigns to each user an identification number 
ID .= f(A) wherein the key distribution centre selects a secret second random number k 
which has the characteristics gcd(k,q-1) = 1, constructs from the random number k a 
public user key r = a k and a secret user key s with the characteristic xr+ks = ID mod 
(q-1), and reports to the user both of his two user key, 

and that, in a key exchange phase between a first user A and a second user B 

c) each of the two users A and B reports to the other his public user code r or 

d) each of the two users A and B creates the identification number ID' = f(B) 
or ID = f(A) and from this identification number and the user key r" or r of the other 
respectively, creates a quantity rV = a lc V or r 5 = a ID y r . 

e) each of the two users A and B create a secrete random number t or t\ and 
therewith constructs a code r' 1 or r r , which is reported to the other user B or A, and 

f) the two users A and B create a common secrete communication key z = 
g(r rs , r 15 ' 1 ). 

It is self evident that the finite field GF(q) is so selected that q-1 is a number with 
at least one large prime factor. All but one of the operations according to the invention 
are carried out in this field. 

In common with the known "zero knowledge proof process, the invention has the 
characteristic that it also uses the signature of the identity S(ID) as a secrete 
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authentication characteristic. In contrast to the known process however, this 
characteristic is employed for the construction of a secrete, reciprocally authenticated 
key. 

The dependent patent claims cover advantageous embodiments of the invention. 
Brief Description of the Drawings 

The invention is described in greater detail below, utilizing example embodiments 
with reference to the drawings, which show: 

In Fig. 1 a schematic representation of the pre-authentication phase; and 

In Fig. 2 a schematic illustration of the key exchange phase between two users. 

The references utilized in the drawings, and their meanings, are found in the list 
of references (no list attached - transl.). 

Ways of Carrying Out the Invention 

The key exchange in accordance with the invention takes place in a network 
suitable for the transfer of digital data, the network having a key distribution centre SVZ 
and a number of users A, B,...; the network further having two phases, namely a pre- 
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authentication phase and a key exchange phase. In the pre-authentification phase, 

each user A, B comes to the key distribution centre SVZ and is assigned an identity 

according to the El-Gamal-Scheme. In the subsequent key-exchange phase, two users 
A and B create a common secrete key z in accordance with a modified Diffie-Hellmann 
process. 

Figure 1 shows a schematic representation of the pre-authentification phase. 
Firstly, the key distribution centre SVZ selects (SELECT) a finite field GF(q), in which 
q-1 typically has a large prime factor, and a primitive element a 8 GF(q). It then 
randomly creates (RANDOM), as a secrete network key ("private part") a first number x, 
from which it creates a public network key ("public part") y = of x . (It is to be understood 
that the latter and the subsequently described operations take place within the finite 
field GF(q), when not otherwise explicitly stated.) It further defines a suitable function 
f(.), which creates a specific identity number from the identity characteristics. Finally, it 
defines a further suitable function g: GF(q) x GF(q) -> GF(q). Preferably this function is 
the product. 

The identity number ID determined by f(.) can, for example, be constructed by 
scanning the finger (finger print). However other characteristics can also be used. 
Typically, f(.) is a one way function which is used on the data string and consists of the 
last name, given name, birth date and possible further characteristics. 
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The finite field GF(q), the primitive element a and the public network key y as 
well as the function f(.) are publicly available at the key distribution centre. The secret 
network key x is stored so as to be inaccessible. 

The key distribution centre SVZ has thus concluded the basic common 
preparations. Now, each user comes to the key distribution centre SVZ, and has his 
identity designated in accordance with the El-Gamal scheme. 

The user A identifies himself (for example, with his passport), whereupon the key 
distribution centre SVZ, with the help of the function f(.), calculates a specific identity 
number ID = f(A). Then it randomly creates (RANDOM) a user-specific number k, which 
has the characteristic gcd(k,q-1 ) = 1 (gcd - greatest common divisor). From the 
second random number k it creates a public user key r = a k and a secrete user key s 
with the characteristic xr+ks = ID mod (q-1). It reports the two user keys r and s to the 
user A, who stores the secrete user key s inaccessibly. 

Each user wishing to belong to the network must go through the above described 
pre-authentification phase. 

Figure 2 shows a schematic representation of the key exchange phase. It begins 
with a communication between a first user A and a second user B. 
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Each of the two users knows the publicly known parameters f(.), g(-). GF(q). a, 
y, as well as his own keys r and s or r* and s\ Typically he will also have his own 
identity number ID or ID' in storage. 

The two users A and B firstly calculate the identity numbers ID' and ID and 
exchange the public user keys r and r\ ; 

Secondly, each of the two users A and B creates, from the identity number ID', ID 
and the user key r\ r of the other, a quantity f s ' = a 10 '/ or r 5 = a'V In a third step, they 
each randomly (RANDOM) select a secrete number t, f and each one calculates 
therefrom a code ^ or H". Then these codes r 1 , r 1 * are exchanged. Finally, each of the 
two users A and B constructs from the known quantity, the common secrete key 
(session key) z = g (rV 3 ' 1 )- 

The process according to the invention has the following advantages, among others: 

1 . Aside from one's own identification characteristics, it is sufficient to know a 
single "public key" to achieve an authenticated key exchange with any other user of the 
network. The process is characterized as follows using a very small storage capacity. 

2. Every pre-authenticated use can achieve an authenticated key exchange 
with any other pre-authenticated user, without having to refer back to the key 
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distribution centre (off-line authenticated key exchange). A network driven by this 
system is as flexible as desired in relation to expansion of the circle of participants. 

3. Furthermore, as a result of the key exchange in accordance with the 
invention, all participants are distinguishable, i.e. no participant can claim to be a 

different participant. 

As to the security of the key exchange in accordance with the invention, 

the following can be said: 

1 . If somebody can determine s on the basis of a, y, ID and r, he would be 
able to break the El-Gamal signature scheme, but this is generally regarded as secure. 

t 

2. If somebody can determine (r 1 ") 5 from r, r 3 and r 1 ', than he could also break 
the Diffie-Hellmann key exchange algorithm, but this is also generally regarded as 
secure. 

In light of these observations, it appears likely that, with an appropriate selection 
of q, a, x and k, the knowledge of s and s' is indispensable to the users A and B in the 
construction of the session key z. The key exchange process in accordance with the 
invention therefore contains a reciprocal authentification of the users A and B. 
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The resulting session key z can now be used for a variety of purposes, for 

i 

example for enciphering, for securing data integrity, or merely for identity control. 

The process in accordance with the invention can be realized with means that 
are known per se. A suitable arrangement for the authenticated key exchange with the 
aim of enciphering is, for example, described in the above mentioned German AS DE-A 
3 9 15 262. 

The use possibilities of the described process, relative to the mentioned 
advantages, are quite broad: mobile telephone, military communication, computer 
networks and POS-Terminals. 

The described key exchange process is a" "public key" procedure with a single 
key which allows an authenticated key creation between any two users. It is drivern off- 
line, is flexible in connection with expansion by way of new users, and has a small 
storage requirement. The calculating effort is essentially the same as for the broadly 
known Diffle-Hellmann process. The somewhat more costly El-Gamal signature is run 
through by the key distribution centre, only once for each user. 
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1 . A process for authenticated key exchange in a network with a key 
distribution centre and a plurality of users A, B, characterized in that, in a pre- 
authentification phase 

a) the key distribution centre selects a function f(.) for creating identity 
numbers, a finite field GF(q) in which the computation operations are carried out, a 
function g: GF(q) x GF(q) -> GF(q), a primitive element ae GF(q) and a secret first 
random number x, from which it creates a public network key y = <x"\ 

b) the key distribution centre assigns to each user an identity number ID = 
f(A), wherein the key distribution centre selects a secret second random number k, 
which has the characteristic gcd(k,q-1) = 1, constructs from the random number k a 
public user key r = a k and a secret user key s with the characteristic xr+ks = ID mod 
(q-1), and reports to the user both of his user keys, 

and that in a key exchange phase between a first user A and a second user B 

c) each of the two users A, B reports his public user key r, r* to the other, 

d) each of the two users A, B creates an identity number ID' = f(B) or ID = f(A), and 
makes from these identity numbers and the user key r', r of the other, a capacity f s = 
a'V or r 3 = a 10 /. 

e) each of the two users A, B creates a secret random number t, t', and creates a 
code f\ r 4 ', which he communicates to the other user B or A, and 

f) the two users A and B have a common secret communication key z = gO^.r 5 '). 
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2. A process according to claim 1 , characterized in that the function g(.,.) represents 
multiplication in the finite field GF(q). 



3. The process according to claim 1 , characterized in that the function f(.) is a 
way function. 



